Activez le lancement fiable sur des machines virtuelles Azure existantes

S’applique à : ✔️ Machine virtuelle Linux ✔️ Machine virtuelle Windows ✔️ Machine virtuelle de génération 2

Le service Machines Virtuelles Azure prend en charge l’activation du lancement fiable Azure sur les machines virtuelles Azure de génération 2 existantes en mettant à niveau le type de sécurité avec le Lancement fiable.

Le Lancement fiable est un moyen d’activer la sécurité de calcul fondamentale sur les machines virtuelles Azure deuxième génération. Il protège également contre les techniques d’attaque avancées et persistantes telles que les bootkits et rootkits. Cela est possible en combinant des technologies d’infrastructure telles que le démarrage sécurisé, vTPM (virtual Trusted Platform Module) et la surveillance de l’intégrité du démarrage sur votre machine virtuelle.

Important

La prise en charge de l’activation du lancement fiable sur les machines virtuelles Azure de 1re génération existantes est actuellement en préversion privée. Vous pouvez accéder à la préversion en utilisant le formulaire d’inscription.

Prérequis

• La machine virtuelle Azure Génération 2 est configurée avec :
  • Famille de tailles prises en charge par le lancement fiable.
  • Image du système d’exploitation prise en charge par le lancement fiable. Pour les images ou disques de système d’exploitation personnalisés, l’image de base doit prendre en charge le lancement fiable.
• La machine virtuelle Azure de génération 2 n’utilise aucune fonctionnalité qui n’est pas actuellement prise en charge avec le lancement fiable.
• Les machines virtuelles Azure de génération 2 doivent être arrêtées et libérées avant que vous n’activiez le type de sécurité Lancement fiable.
• Le service Sauvegarde Azure, s’il est activé pour les machines virtuelles, doit être configuré avec la stratégie de sauvegarde améliorée. Le type de sécurité Lancement fiable ne peut pas être activé pour les machines virtuelles de génération 2 configurées avec une stratégie standard de protection des sauvegardes.
  • La sauvegarde de machine virtuelle Azure existante peut être migrée de la stratégie Standard à la stratégie Améliorée. Suivez les étapes dans Migrer des sauvegardes de machines virtuelles Azure de la stratégie Standard à la stratégie Améliorée (préversion).

Bonnes pratiques

• Activez le lancement fiable sur une machine virtuelle de génération 2 de test et déterminez si des modifications sont nécessaires pour répondre aux prérequis avant d’activer le lancement fiable sur les machines virtuelles de génération 2 associées à des charges de travail de production.
• Créez des points de restauration pour les machines virtuelles Azure de génération 2 associées aux charges de travail de production avant d’activer le type de sécurité Lancement fiable. Vous pouvez utiliser des points de restauration pour recréer les disques et la machine virtuelle de génération 2 avec l’état connu précédent.

Activer le lancement fiable sur une machine virtuelle existante

Remarque

• Une fois que vous avez activé le lancement fiable, les machines virtuelles actuelles ne peuvent pas être restaurées avec le type de sécurité Standard (configuration de lancement non fiable).
• vTPM est activé par défaut.
• Nous vous recommandons d’activer le démarrage sécurisé, si vous n’utilisez pas de noyau ou de pilote non signé personnalisé. Elle n’est pas activée par défaut. Le démarrage sécurisé préserve l’intégrité du démarrage et fournit une sécurité de base aux machines virtuelles.

Portail

Activez le lancement fiable sur une machine virtuelle Azure de génération 2 existante en utilisant le portail Azure.

1. Connectez-vous au portail Azure.

2. Vérifiez que la génération de la machine virtuelle est V2, puis sélectionnez Arrêter pour la machine virtuelle.

   

3. Dans la page Vue d’ensemble des propriétés de la machine virtuelle, sous Type de sécurité, sélectionnez Standard. La page Configuration pour la machine virtuelle s’ouvre.

   

4. Dans la page Configuration, sous la section Type de sécurité, sélectionnez la liste déroulante Type de sécurité.

   

5. Sous la liste déroulante, sélectionnez Lancement fiable. Cochez les cases pour activer Démarrage sécurisé et vTPM. Après avoir apporté les changements, sélectionnez Enregistrer.

   Remarque

   • Les machines virtuelles de génération 2 créées en utilisant Azure Compute Gallery (ACG), une Image managée ou un Disque de système d’exploitation ne peuvent pas être mises à niveau avec le lancement fiable en utilisant le portail. Assurez-vous que la Version du système d’exploitation est prise en charge pour le lancement fiable. Utilisez PowerShell, Azure CLI ou un modèle Azure Resource Manager (modèle ARM) pour exécuter la mise à niveau.

   

6. Une fois la mise à jour terminée, fermez la page Configuration. Dans la page Vue d’ensemble des propriétés de la machine virtuelle, confirmez les paramètres Type de sécurité.

   

7. Démarrez la machine virtuelle mise à niveau avec le lancement fiable. Vérifiez que vous pouvez vous connecter à la machine virtuelle à l’aide du protocole RDP (Remote Desktop Protocol) pour les machines virtuelles Windows ou du protocole SSH (Secure Shell Protocol) pour les machines virtuelles Linux.

INTERFACE DE LIGNE DE COMMANDE

Suivez les étapes pour activer le lancement fiable sur une machine virtuelle Azure de génération 2 existante en utilisant Azure CLI.

Veillez à installer la dernière version d’Azure CLI et à vous connecter à un compte Azure avec az login.

1. Connectez-vous à l’abonnement Azure de la machine virtuelle.

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. Libérez la machine virtuelle.

   az vm deallocate \
      --resource-group myResourceGroup --name myVm
   

3. Activez le lancement fiable en définissant --security-type sur TrustedLaunch.

   az vm update \
       --resource-group myResourceGroup --name myVm \
       --security-type TrustedLaunch \
       --enable-secure-boot true --enable-vtpm true
   

4. Validez le résultat de la commande précédente. Vérifiez que la configuration securityProfile est retournée avec la sortie de la commande.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

5. Démarrez la machine virtuelle.

   az vm start \
       --resource-group myResourceGroup --name myVm
   

6. Démarrez la machine virtuelle mise à niveau avec le lancement fiable. Vérifiez que vous pouvez vous connecter à la machine virtuelle à l’aide de RDP (pour les machines virtuelles Windows) ou de SSH (pour les machines virtuelles Linux).

PowerShell

Suivez les étapes pour activer le lancement fiable sur une machine virtuelle Azure de génération 2 existante en utilisant Azure PowerShell.

Veillez à installer la dernière version d’Azure PowerShell et à vous connecter à un compte Azure avec Connect-AzAccount.

1. Connectez-vous à l’abonnement Azure de la machine virtuelle.

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. Libérez la machine virtuelle.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

3. Activez le lancement fiable en définissant -SecurityType sur TrustedLaunch.

   Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Update-AzVM -SecurityType TrustedLaunch `
           -EnableSecureBoot $true -EnableVtpm $true
   

4. Validez securityProfile dans la configuration de machine virtuelle mise à jour.

   # Following command output should be `TrustedLaunch`
   
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.SecurityType
   
   # Following command output should return `SecureBoot` and `vTPM` settings
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
   
   

5. Démarrez la machine virtuelle.

   Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

6. Démarrez la machine virtuelle mise à niveau avec le lancement fiable. Vérifiez que vous pouvez vous connecter à la machine virtuelle à l’aide de RDP (pour les machines virtuelles Windows) ou de SSH (pour les machines virtuelles Linux).

Modèle

Suivez les étapes pour activer le lancement fiable sur une machine virtuelle Azure de génération 2 existante en utilisant un modèle ARM.

Un modèle Azure Resource Manager est un fichier JSON (JavaScript Object Notation) qui définit l’infrastructure et la configuration de votre projet. Le modèle utilise la syntaxe déclarative. Vous décrivez votre déploiement prévu sans écrire la séquence de commandes de programmation pour créer le déploiement.

1. Vérifiez le modèle.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "type": "object",
               "metadata": {
                   "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
               }
           },
           "vTpmEnabled": {
               "type": "bool",
               "defaultValue": true,
               "metadata": {
                   "description": "Specifies whether vTPM should be enabled on the virtual machine."
               }
           }
       },
       "resources": [
           {
               "type": "Microsoft.Compute/virtualMachines",
               "apiVersion": "2022-11-01",
               "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
               "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
               "properties": {
                   "securityProfile": {
                       "uefiSettings": {
                           "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                           "vTpmEnabled": "[parameters('vTpmEnabled')]"
                       },
                       "securityType": "TrustedLaunch"
                   }
               },
               "copy": {
                   "name": "vmCopy",
                   "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
               }
           }
       ]
   }
   

2. Modifiez le fichier JSON parameters avec les machines virtuelles à mettre à jour avec le type de sécurité TrustedLaunch.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "value": {
                   "virtualMachines": [
                       {
                           "vmName": "myVm01",
                           "location": "westus3",
                           "secureBootEnabled": true
                       },
                       {
                           "vmName": "myVm02",
                           "location": "westus3",
                           "secureBootEnabled": true
                       }
                   ]
               }
           }
       }
   }
   

   Définition du fichier de paramètres

   Propriété	Description de la propriété	Exemple de valeur de modèle
   vmName	Nom de la machine virtuelle Azure de génération 2.	myVm
   location	Emplacement de la machine virtuelle Azure de génération 2.	westus3
   secureBootEnabled	Activez le démarrage sécurisé avec le type de sécurité Lancement fiable.	true

3. Libérez toutes les machines virtuelles Azure de génération 2 à mettre à jour.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
   

4. Exécutez le déploiement du modèle ARM.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

   

   

5. Démarrez la machine virtuelle mise à niveau avec le lancement fiable. Vérifiez que vous pouvez vous connecter à la machine virtuelle à l’aide de RDP (pour les machines virtuelles Windows) ou de SSH (pour les machines virtuelles Linux).

Recommandations Azure Advisor

Azure Advisor fournit une recommandation d’excellence opérationnelle Activer l’excellence fondamentale du lancement fiable et une sécurité moderne pour les machines virtuelles de génération 2 existantes pour les machines virtuelles de génération 2 existantes afin d’adopter le lancement fiable, une posture de sécurité supérieure pour les machines virtuelles Azure sans frais supplémentaires. Vérifiez que la machine virtuelle de génération 2 répond à tous les prérequis de la migration vers le lancement fiable et suivez toutes les bonnes pratiques, notamment la validation de l’image du système d’exploitation, la taille de la machine virtuelle et la création de points de restauration. Pour que la recommandation Advisor soit considérée comme complète, suivez les étapes décrites dans la Activer le lancement fiable sur une machine virtuelle existante pour mettre à niveau le type de sécurité des machines virtuelles et activer le lancement fiable.

Que se passe-t-il si des machines virtuelles de génération 2 ne répondent pas aux prérequis pour passer au lancement fiable ?

Si une machine virtuelle de génération 2 ne remplit pas les prérequis pour être mise à niveau avec le lancement fiable, recherchez comment remplir les prérequis. Par exemple, si vous utilisez une taille de machine virtuelle non prise en charge, recherchez une taille équivalente qui prend en charge le lancement fiable.

Remarque

Ignorez la recommandation si la machine virtuelle Gen2 est configurée avec des familles de tailles de machine virtuelle qui ne sont actuellement pas prises en charge avec le lancement fiable comme la série MSv2.

Contenu connexe

• Activez le lancement fiable pour les nouveaux déploiements de machines virtuelles. Pour plus d’informations, consultez Déployer des machines virtuelles avec le lancement fiable activé.
• Après les mises à niveau, nous vous recommandons d’activer la Surveillance de l’intégrité du démarrage pour surveiller l’intégrité de la machine virtuelle à l’aide de Microsoft Defender pour le cloud.
• Découvrez plus en détail le Lancement fiable et passez en revue les questions fréquemment posées.